Massives Datenleck: 2 Noyb Beschwerden gegen EU Parlament

Massives Datenleck: 2 Noyb Beschwerden gegen EU Parlament

Wien, 22. August 2024

Anfang Mai 2024 informierte das EU Parlament seine Belegschaft über ein massives Datenleck in der Rekrutierungsplattform »People«. Davon betroffen waren die persönlichen Daten von mehr als 8.000 Personen, darunter Personalausweise und Pässe, Strafregisterauszüge, Aufenthaltsdokumente und sensible Daten wie Heiratsurkunden. Letztere können unter anderem Aufschluss über die sexuelle Orientierung einer Person geben. Das Parlament erfuhr erst Monate nach dem Vorfall von der Datenpanne. Die Ursache scheint bis heute unklar. Das ist besonders besorgniserregend, weil sich das Parlament seit langem über Schwachstellen in seinem IT Sicherheitssystem bewusst ist. Noyb hat nun 2 Beschwerden im Namen von 4 Parlamentsmitarbeitern beim Europäischen Datenschutzbeauftragten (EDSB) eingereicht.

• Beschwerde gegen das EU Parlament 1

• Beschwerde gegen das EU Parlament 2

Die #Daten aller Personen an einem Ort. Bevor man sich auf eine Stelle beim Europäischen Parlament bewerben kann, muss man sich auf der Rekrutierungsplattform »People« registrieren. Dort stellt man der Institution haufenweise persönliche Daten zur Verfügung. Dazu gehören Personalausweise und Reisepässe, Aufenthalts und Bildungspapiere, aber auch sensible Daten wie Strafregisterauszüge und Heiratsurkunden. Letztere können Aufschluss über die sexuelle Orientierung einer Person geben. Umso wichtiger ist es, dass das EU Parlament entsprechende Sicherheitsvorkehrungen trifft, um diese Daten vor dem Zugriff durch Dritte zu schützen.

Tausende Betroffene

Am 26. April 2024 informierte das EU Parlament den Europäischen Datenschutzbeauftragten (EDSB) über ein massives Datenleck bei »People«, von dem mehr als 8.000 aktuelle und ehemalige Mitarbeiter betroffen waren. Bis heute ist unklar, wann und wie es zu dieser Panne kam. Den Betroffenen wurde lediglich mitgeteilt, dass alle hochgeladenen Dokumente kompromittiert wurden. Am 31. Mai 2024 riet ihnen das Parlament deshalb, ihre Ausweise und Pässe vorsorglich zu ersetzen – und bot an, die damit verbundenen Kosten zu erstatten. Zum Zeitpunkt der Einreichung dieser Beschwerde ist noch immer unklar, wie lange auf die persönlichen Daten der Bewerber zugegriffen werden konnte.

Lorea Mendiguren, Datenschutzjuristin bei Noyb: »Diese Datenpanne folgt auf eine Reihe von Cybersicherheitsvorfällen in #EU Institutionen im letzten Jahr. Das #Parlament ist verpflichtet, angemessene Sicherheitsvorkehrungen zu treffen. Schließlich sind die Mitarbeiter ein beliebtes Ziel für böswillige Akteure«.

Bekannte Schwachstellen in der #Cybersicherheit

Der Vorfall ist besonders beunruhigend, da sich das Parlament seit langem über Schwachstellen in seiner eigenen Cybersicherheit bewusst ist: Im November 2023 überprüfte die IT Abteilung des Parlaments die eigenen Systeme – und kam zu dem Schluss, dass die Cybersicherheit der Institution »noch nicht den Industriestandards entspricht«und dass die bestehenden Maßnahmen »nicht in vollem Umfang dem Bedrohungsniveau« entsprechen, das von staatlich gesponserten Hackern ausgeht. Darüber hinaus fiel der »People« Angriff zeitlich mit einer Reihe anderer Cyberangriffe auf EU Institutionen zusammen. Russische #Hackergruppen griffen im November 2022 die Website des Parlaments und im Herbst 2023 zahlreiche europäische Regierungen an. Im Februar 2024 wurde der Unterausschuss für Sicherheit und Verteidigung angegriffen. 2 Abgeordnete und ein Mitarbeiter fanden israelische Spionagesoftware auf ihren Geräten.

Max Schrems, Vorsitzender von Noyb: »Als EU Bürger ist es besorgniserregend, dass die EU Institutionen immer noch so anfällig für Angriffe sind. Solche sensiblen Informationen im Umlauf zu haben, ist nicht nur für die Betroffenen beängstigend. Sie kann auch genutzt werden, um demokratische Entscheidungen zu beeinflussen.«

Viel mehr Daten als erforderlich

Der Vorfall zeigt außerdem, dass das Parlament sich nicht an die #DSGVO Grundsätze der Datenminimierung und Speicherbegrenzung hält. Nach Artikel 4(1)(c) der EU DSGVO dürfen EU Organe nur Daten verarbeiten, die »dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt« sind. Dennoch beträgt die Aufbewahrungsfrist der Rekrutierungsplattform des EU Parlaments 10 Jahre. Das ist auch deshalb besorgniserregend, weil diese auch sensible (und besonders geschützte) Daten gemäß Artikel 9 EU DSGVO enthalten. Diese können Aufschluss über die ethnische Zugehörigkeit, politische Meinungen, politische Überzeugungen oder die sexuelle Orientierung von Personen geben. Im aktuellen Fall hatte ein Beschwerdeführerin ihre Heiratsurkunde auf »People« hochgeladen. Diese erlaubt den Rückschluss auf ihre sexuelle Orientierung.

2 Beschwerden beim EDSB

Noyb hat nun zwei Beschwerden im Namen von 4 Mitarbeitern beim Europäischen Datenschutzbeauftragten eingereicht. Dieser ist für Datenschutzverstöße von EU Institutionen verantwortlich. Das EU Parlament scheint gegen Artikel 4(1)(c) und (f) sowie Artikel 33(1) der EU DSGVO verstoßen zu haben. Darüber hinaus lehnte das Parlament einen (nach dem Datenleck gestellten) Antrag auf Löschung ab – und verwies den Beschwerdeführer lediglich auf die 10 jährige Aufbewahrungsfrist. Noyb fordert den EDSB nun dazu auf, das #Parlament anzuweisen, seine Datenverarbeitung in Einklang mit den DSGVO Vorschriften zu bringen. Darüber hinaus schlägt Noyb die Verhängung einer Verwaltungsstrafe vor. Diese soll ähnliche Verstöße in der Zukunft verhindern.

Foto: Noyb, European Center for Digital Rights, Informationen zu Creative Commons (CC) Lizenzen